检前 |
Q1:分中心提供哪些检测方式? A: 软件成分分析(SCA)、二进制安全分析(BSA)、容器镜像安全技术分析(CSP)、动态应用程序安全测试(DAST)、静态应用程序安全测试(SAST) Q2:软件产品需要进行哪些检测? A: 为确保软件产品得到全面、准确的检测,建议根据实际物料内容采用三种以上的检测方式(SCA必选)。 Q3:通过何种方式提供文件? A: 物理介质如U盘、光盘来存储文件,并通过EMS邮寄送检;在线请通过Email形式发送。 Q4:提供什么类型的文件? A: 建议提供未经混淆或加密的可编译源代码。白盒检测能更精准追溯漏洞的源头,提升检测准确性。具体内容参照《评估服务单元简介》。 Q5:无法提供源代码怎么办? A: 由于SCA为必检项目,为了保证检测结果的准确性,避免浪费检测机会与检测时长,建议提供源码。 Q6:产品名能否有多个? A: 不能,需进行统一命名,最终会体现在三所评估报告中。 Q7:分中心如何确保文件(包括但不限于源码、检测报告)的安全和保密? A: 针对文件保密和数据安全,分中心制定了严格的保密制度。自收到送检物料起,对涉密载体统一编号管理,确保管控与追踪。分中心获取的所有文件不上网,检测、报告出具、信息归档均在内网环境进行,确保物理隔离。 Q8:我们能先自己扫描一遍吗? A: 不能。所有工具、资源均由公安部第三研究所指定,分中心采购。按三所要求,分中心不得涉及任何工具的推广与销售。 |
检中 |
| ... |
检后 |
Q1:检测结果多久出来? A: 通常为10个工作日。检测时长与报告出具时间受多种因素影响。包括但不限于送检文件大小、检测队列状况以及检测人员工作进度等,请耐心等待工作人员联系。 Q2:检测报告包含什么内容? A: 报告内容通常涵盖软件产品的详细信息、组件分析、漏洞与缺陷报告、针对性整改建议等内容。具体内容依据所选择的检测服务而定。 Q3:对检测结果有异议怎么办? A: 如出现漏洞误报的情况,请联系售后人员。非漏洞误报的情况,根据总中心规定,分中心不做相关解答。若首次检测结果不合格,依据报告进行整改后,可免费送检一次。 Q4:能帮忙整改吗? A: 不能。根据总中心规定,分中心仅提供可参考的整改建议,不参与具体的项目整改。 Q5:怎么收取报告? A: 为确保数据安全,报告将通过EMS或者Email邮寄。 Q6:有几次复检机会? A: 1次。复检是浙江分中心基于供应商对整改机会有需求的考虑,主动提供一次免费检测机会,而非官方要求。 Q7:整改后复检依然不通过怎么办? A: 需要重新与浙江分中心签订新的评估服务合同。 Q8:只修复严重或超危漏洞可以吗? A: 建议至少修复高危及以上漏洞。 Q9:检测结果中没有推荐版本也没有可用无漏洞版本的组件怎么处理? A: 建议尝试更换开源组件。 Q10:容器镜像扫描为什么修复不好? A: 容器镜像扫描的是操作系统的漏洞,需要升级的是操作系统镜像。 |
数安官方公众号
分中心公众号